挖掘犯罪链条中的URL跳转

2023-07-19 23:54:12 46 17258

0x01 前言

2023年5月,接到朋友求助,他的母亲被诈骗5万元,诈骗人使用的是他哥哥的微信号,找到我寻求帮助。

经过研判,对方盗取了被害人亲戚的微信号,以老套的诈骗方式“是我是我诈骗”进行作案。


0x02 骗局分析

利用钓鱼链接,让被害人帮忙微信投票,在投票时提示需要登入微信,需要微信的账号密码以及验证码

在盗取微信号后,伪装成本人向亲朋好友借钱


0x03 挖掘犯罪链条中的URL跳转

在拿到盗号的二维码后第一时间对URL进行分析,套路其实很老套,就是我上面说的那些,在挖掘过程中,犯罪链条中的一环跳转了某个大厂的URL

犯罪链条经过了一层某大厂URL跳转,使得诈骗网站可以逃过QQ/微信等聊天工具的URL检测,成功混进了白名单,没有提示危险

若跳转的链接非白名单URL,则出现拦截,显示是否确认跳转,如下图:

若链接是白名单,则直接跳转


0x04 URL跳转绕过

综上所述,如果非白名单就会出现拦截 如 http://127.0.0.1/?url=http://xxx.cn

尝试白名单,已知该厂商的白名单有 baidu.com qq.com等

白名单成功跳转,无任何提示直接跳转


0x05 犯罪链条中的利用

已知 http://127.0.0.1/?url=http://baidu.com是直接跳转的白名单

绕过 http://127.0.0.1/?url=http://baidu.commxxx.cn 利用二级域名绕过检测规则

绕过方法2 http://127.0.0.1/?url=http://baidu.com.xxxxx.cn


0x06 声明

案子已经过去几个月了,也已经结案了,但是该漏洞还是没有修复,为了避免扯皮,我全程使用厚码,只提供思路进行讨论。

本文章仅用于技术研究探讨,非法利用后果自负。


0x07 吐槽

本是公益,报告完整写出了几个绕过点,第一次给我忽略漏洞,第二次让我提供被骗的证据

当我提供了朋友立案的证据后,接受了该漏洞

本是公益,不为了一分一毫,花了时间精力去挖掘去写报告,换来的却是低危 1分 报告质量:差

毫无疑问,这给”差“是给我的,像一巴掌一样拍在我脸上。

对得起我吗?某大厂

关于作者

0xShe139篇文章1085篇回复

评论46次

要评论?请先  登录  或  注册